[主機空間新手攻略18]虛擬主機商說有主機空間有防火牆,我的網站就安全了嗎?是不是不更新也不會被駭呢?
常見虛擬主機使用者會把防火牆跟防毒/掃毒軟體混為一談,所以看到主機空間商的網頁上寫主機上有防火牆或有Security的字眼,便覺得妥當了,網頁程式被駭時,下意識會尋找主機空間商處理。
故文章一開始開宗明義的先說防火牆不是防毒軟體,無法防範網頁〝不會被駭〞。
P.S.有關掃毒軟體(提醒功能),請參詳延伸閱讀:cPanel控制台-ImunifyAV 掃瞄軟體作用為何,是防毒軟體嗎?如何利用ImunifyAV維護網頁程式安全?
虛擬主機的防火牆是什麼東西,用途是什麼呢?
一般狹義來說:用於隔離本機與外部網路的一道防禦系統,藉由控制過濾限制訊息來保護內部網路資料的安全。而廣義來說,除了攘外,現在還會有安內的設定,亦即防範外部惡意連入行為,同時也規範內部使用的使用底限。
常見虛擬主機所用的防火牆有哪些?
在此提供cPanel(何謂cPanel請點我)推薦的防火牆供作參考,詳情請點我,比如:CSF(ConfigServer Security & Firewall,官方連結請點我)、APF( Advanced Policy Firewall,官方連結請點我)、iptables(維基說明請點我)。 一般虛擬主機廠商不會公開自己使用的哪一個防火牆與設定的細節,故主要是用於告知每個主機空間商使用防火牆不盡相同,即是相同防火牆,設定的寬鬆程度也不同。
虛擬主機防火牆主要是處理哪裡事情
●針對內部限制:密碼強度、危險函數禁用、限制程式的運作情況與相關超用的log提醒、主機空間功能的權限限制與禁用。
●針對外部限制:針對惡意行為作IP阻擋(如錯誤登入多次、PORT SCAN、PING、連線次數不正常)、只開放部分端口、禁止外部連入(如SQL Server、SSH)。使用者最常發生的port scan問題,請參詳延伸閱讀。
P.S.在上述的官方說明裡,會有比較詳細的防火牆政策,有興趣可以看看。
被主機空間的防火牆阻擋會怎樣?該怎麼辦?
被防火牆阻擋了,將會連不上您的網頁程式、連不上cPanel控制台,此需要連絡主機空間商,告知您的ADSL IP(如何查詢,請點我),請主機空間商為您確認、解除。
P.S.防火牆在解除IP/更改設定時,都需要重啟乙次防火牆,而因防火牆=IP連入的第一道關卡,故若不斷重啟防火牆,會影嚮其他IP的連入,故此若有一直被阻擋的問題,需要真正釐清阻擋的原因。
下方提供3種防火牆的設定訊息,一般的使用者無法看到,也無法變更設定;主要用以說明,此為主機空間商才能操作,故此在解除阻擋上,也需要由有ROOT端權限的主機空間商操作。
P.S.CSF(ConfigServer Security & Firewall)防火牆的設定有結合在WHM裡,故有圖形化介面可供設定(此也為目前主機空間商最常見用的防火牆):
P.S.APF( Advanced Policy Firewall)是以iptables為基礎的防火牆,故APF與iptables的操作需要透過SSH來設定(何謂SSH請點我),下圖為由上述〝cPanel官網建議防火牆〞連結裡截圖,其黑色框背景框的部分為於SSH裡所下的設定訊息。
結論
綜合上述來說,防火牆主要是主要針對虛擬主機的整體系統作防禦,非針對使用者的網頁程式。然而主機空間在有防火牆的情況下,主機代管商仍會需要持續作主機系統的更新(升級功能、修補系統bug、漏洞、安全疑慮…等),確保系統的安全環境。
以貼近生活的方式來比喻,防火牆就像是大樓的保全系統,針對不OK的行為會作阻擋、禁止、提醒;而網頁程式就是大樓的外觀;若窗戶破了,門沒鎖,則任何人可以堂而皇之進來,且不會觸動保全系統。
因此對於網頁式程安全,除了定期更新維護、再者是善用主機控制台的掃瞄程式安全的提醒功能(如上方ImunifyAV的說明),最後因網頁程式若有被駭,而駭入的痕跡在查找上需要花費一番功夫,故還請定期作網頁程式的備份(備份詳情請點我),用以留存還未被駭入過的網頁程式,以利後續的維護、升級
文章來源: https://wpoki.com
GIPHY App Key not set. Please check settings
3 Comments